扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
现象描述
组网概述:3526E->8850->8750。一部分用户通过2403->3025->3526E的GE口上网,另一部分用户通过2403->3526E
故障现象为两类:
1、无法获取地址,释放地址后试图重新获取不成功;
2、能上网,但是网速变得极低,并且无法PING通网关。
警告信息
无
原因分析
1、可能是DHCP服务器故障;
2、可能是上层设备故障;
3、可能是网络上存在大量ARP广播包,占用了CPU;
4、可能是网络中有非法用户采用ICMP报文攻击导致。
处理过程
1、根据故障现象1,可能DHCP服务器有故障,经查看,排除此可能;查看上层设备8850,也排除其故障可能。
2、在3526E上PING不通上行对接设备地址及下挂用户地址,设备本身也PING占用率,几乎达到100%。有可能是网络上存在大量广播包,占用了CPU
3、通过SHOW IPF ALL查看,发现硬件转发表项已超过设备极限,且有许多异常可疑地址。如:
[S3526E] display ipfdb all
Ip fdb entry information including the following fields:
Note: the value of Status field
0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: Error
Ip Address RtIf VTag VTValid Port Mac Status
1.215.8.137 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2
2.136.111.41 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2
3.64.162.222 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2
3.117.251.162 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2
用户网段均为10开头的私网地址,内部用户上公网通过PROXY代理,正常情况下不应学习到这些地址。由此判断设备受非法攻击导致,网络上有用户在不断地向全网网段发出
4、通过命令调试,如下:
[Quidway]acl number 101
[Quidway-acl-adv-101]rule permit ip source 1.0.0.0 0.255.255.255 destination any
[Quidway-acl-adv-101]rule permit ip source 2.0.0.0 0.255.255.255 destination any
[Quidway-acl-adv-101]rule permit ip source 3.0.0.0 0.255.255.255 destination any
[Quidway-acl-adv-101]rule permit ip source 4.0.0.0 0.255.255.255 destination any
[Quidway-acl-adv-101]rule permit ip source 9.0.0.0 0.255.255.255 destination any
查看调试信息,查找到非法主机IP为10.11.144.152。根据其MAC地址在2403上查找到该主机。发现其有一未设口令的完全共享目录“新建文件夹”,打开该目录,发现该目录下的文件有病毒。该主机发起攻击,为该病毒发作所致。问题根源找到。
建议与总结
现在网络病毒攻击的情况越来越多,由于一般的设备对攻击不具备多少抵抗能力,因此建议网络上的机器要定期杀毒,或是安装防火墙。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者